蓝队溯源与反制

本文简单写下红蓝对抗过程中蓝队的一些溯源与反制方法。
一、蜜罐反制
(1)商用型
近年来越来越多的厂商选择部署商用蜜罐来诱导攻击者,衡量蜜罐好坏的关键因素为诱捕能力,即为诱惑捕捉能力。
利用蜜罐可以做到:获取攻击者的P(真实IP,代理IP等)、ID、操作系统、设备信息等,也可通过诱饵进行钓鱼反制。
蜜罐常见形式可以直观的分为web页面型,命令行型,windows型等。
web页面例如weblogic、phpmyadmin、crm等,攻击者可进行弱口令登陆,暴力破解,历史漏洞,后台shell等,蜜罐页面中会插入溯源jsonp,例如百度、163、腾讯、新浪的对攻击者的ID进行溯源蓝队也可以根据这个思路自己收集一些jsonp用于自制蜜罐中。web型蜜罐的识别方法为查看数据包,如果数据包中出现了很多的不属于该网站的js信息,很大程度上为蜜罐。另外溯源js经常会在页面上产生一个细小的像素点,通过像素点也可以来判断是否踩到了蜜罐。
命令行的例如redis(最常见也是攻击者最容易踩到的)、ssh等,此类获取到的信息偏向于IP,对于ID有一定难度。
windows蜜罐例如win7,xp等,其中包含一些历史漏洞,可以对攻击者进行反制。
现在的蜜罐除了上述的基本功能外,都有一些自己的花样,例如诱饵(邮件诱饵,github等),反制诱饵等。
这里的反制诱可以理解为红队的钓鱼文件,例如在某网站下载链接嵌入一个反制exe,当攻击者点开始便可获得攻击者电脑权限,利用查看文件等操作溯源,从而达到反制的目的。


蓝队溯源与反制

(2)开源型
比较出名的开源蜜罐有beef、hfish等,beef自带功能强大,可以部署出一套完整的蜜网来进行迷惑攻击者。


二、钓鱼邮件溯源
红队有时会采用钓鱼邮件的方式来进行攻击,一些安全意识薄弱的员工便会打开该邮件从而上钩,如果钓到了运维,并且运维电脑上存有未加密的公司服务器信息等,可以说差不多是沦陷。攻击者在伪造钓鱼邮件时,有时出于疏忽,会泄露自己的邮件服务器地址,从而被溯源,下边来看一个例子。


蓝队溯源与反制


红队在发送邮件诱饵时,没有进行伪造,导致自己的邮件服务器泄露,从而被蓝队溯源到真人。


三、IP进行溯源
在对入侵IP进行分类时发现一个IP,应该为攻击者的代理断掉了,通过微步等工具进行信息查询发现其备案域名,域名指向某公司


蓝队溯源与反制


接下来对域名进行whois


蓝队溯源与反制


根据邮箱手机号进行社工库查询,从而获取攻击者信息。


四、红队遗留工具进行溯源
案例1、某单位服务器沦陷,登上服务器对其进行溯源,在e盘找到了红队人员自己编写的工具


蓝队溯源与反制


上边留有攻击者qq


蓝队溯源与反制


在社工库中进行查询从而溯源获取红队真实身份信息
案例2、对攻击者上传的工具进行分析,物理路径中包含了文件的名称

蓝队溯源与反制


在github进行搜索找到该项目和攻击者ID
蓝队溯源与反制

在知乎,微博等平台对该用户进行搜索综合,或者利用支付宝微信转账的方式获取攻击者真实信息。


五、反制红队服务器
蓝队可以对红队IP进行收集,批量进行扫描
攻击者踩到了蜜罐,并尝试进行反弹shell

蓝队溯源与反制


发现攻击者使用的为cs的服务器


蓝队溯源与反制


服务器存在目录遍历漏洞,其中存有攻击者的攻击日志

蓝队溯源与反制


有一条日志暴露了攻击者的teamserver密码


蓝队溯源与反制


登录攻击者teamserver,找到被攻击主机的外网地址


蓝队溯源与反制


一段时间后teamserver上线了一台新的主机

蓝队溯源与反制


上线日志如下,可能是攻击者反弹shell后自己访问的登录信息


蓝队溯源与反制

定位成功


作者:Sunf0wer,转载于先知社区



蓝队溯源与反制

干货|渗透学习资料大集合(书籍、工具、技术文档、视频教程)


蓝队溯源与反制

点击上方,关注公众号

如文章对你有帮助,请支持点下“赞”“在看”


版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/749.html

(0)
上一篇 2021-03-28 13:32
下一篇 2021-03-28 14:07

相关推荐

发表回复

登录后才能评论